Chrome-Update stärkt Benutzerkontrolle über Erweiterungen

Ab Version 25 von Google Chrome werden Browsererweiterungen, die offline von anderen Anwendungen installiert wurden, erst aktiviert, wenn Benutzer ihre Berechtigung über ein Dialogfeld in der Browseroberfläche erteilen.

At In dem Moment, in dem Entwickler mehrere Optionen haben, um Erweiterungen offline zu installieren - ohne die Browser-Oberfläche zu verwenden - in Google Chrome für Windows. Eine davon ist das Hinzufügen spezieller Einträge in der Windows-Registrierung, die Chrome mitteilen, dass eine neue Erweiterung installiert wurde und aktiviert werden sollte.

"Diese Funktion war ursprünglich dafür gedacht, Benutzern zu ermöglichen, Chrome eine nützliche Erweiterung hinzuzufügen Ein Teil der Installation einer anderen Anwendung ", sagte Peter Ludwig, Google Product Manager von Chrome Extensions, am Freitag in einem Blogbeitrag. "Leider wurde diese Funktion von Drittanbietern häufig missbraucht, um Erweiterungen automatisch ohne Bestätigung durch die Benutzer in Chrome zu installieren."

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Um diesen Typ zu verhindern der Missbrauch, beginnend mit Chrome 25, deaktiviert der Browser automatisch alle zuvor installierten "externen" Erweiterungen und zeigt den Benutzern ein einmaliges Dialogfeld, um auszuwählen, welche sie wieder aktivieren möchten.

Außerdem alle Erweiterungen die mit den Offline-Methoden installiert werden, werden standardmäßig deaktiviert und der Benutzer wird gefragt, ob er sie beim Neustart des Browsers aktivieren möchte.

Mozilla hat vor über einem Jahr in Firefox einen sehr ähnlichen Mechanismus implementiert, um offline installierte Erweiterungen zu verhindern durch andere Programme ohne Benutzerbestätigung aktiviert werden.

Sicherheitsbedenken

Viele Angriffe haben schädliche Browsererweiterungen verwendet, einschließlich Chrome-Erweiterungen. Im Mai gab die Wikimedia Foundation beispielsweise eine Warnung über eine Google Chrome-Erweiterung aus, die Rogue-Anzeigen in Wikipedia-Seiten eingefügt hat.

Im Juli hat Google die Installation von Chrome-Erweiterungen auf Websites von Drittanbietern eingestellt und nur Online-Installationen eingeschränkt zu Erweiterungen im offiziellen Chrome Web Store.

Dies machte es Angreifern schwerer, schädliche Erweiterungen zu verteilen, verhinderte jedoch nicht, dass Schadsoftware bösartige Chrome-Erweiterungen auf einem bereits kompromittierten System mithilfe der Offline-Methoden installieren konnte. Mit den bevorstehenden Chrome 25-Änderungen soll das behoben werden.

"Ich denke, es ist ein guter Schritt in die richtige Richtung, und das ist eine sicherere Browser-Erfahrung", sagte Zoltan Balazs, ein IT-Sicherheitsforscher aus Ungarn, am Montag per E-Mail. Balazs erstellte zuvor proof-of-concept bösartige Erweiterungen für Firefox, Chrome und Safari, um zu demonstrieren, wie mächtig solche Tools in den Händen von Angreifern sein können.

Balazs 'Forschung, die dieses Jahr auf mehreren Sicherheitstagungen vorgestellt wurde, zeigte wie ferngesteuerte bösartige Browsererweiterungen den Inhalt von Webseiten verändern können, Screenshots über die Webcam des Computers machen, als Reverse-HTTP-Proxy im internen Netzwerk agieren, Dateien herunterladen, hochladen und ausführen, für verteilte Passwort-Hash-Cracks und mehr verwendet werden.

Auch wenn die bevorstehenden Änderungen in Chrome 25 das Leben für Angreifer erschweren werden, könnte eine Malware die gesamte Chrome-Installation durch eine Backdoored-Version ersetzen, sagte Balazs. Er wies auf das erste der "10 unveränderlichen Sicherheitsgesetze" von Microsoft hin, das lautet: "Wenn ein böser Mensch Sie dazu überreden kann, sein Programm auf Ihrem Computer auszuführen, ist es nicht mehr Ihr Computer."

Im Juli Wenn Google die Installation von Chrome-Erweiterungen von Websites von Drittanbietern ausschließe, sagte das Unternehmen außerdem, dass es alle im Chrome Web Store aufgeführten Erweiterungen auf bösartiges Verhalten prüfen und die problematischen entfernen werde.

Vorsicht vor Betrügereien

Seither wurden im Chrome Web Store jedoch mehrfach schädliche Erweiterungen gefunden, was darauf hindeutet, dass der Mechanismus zum Scannen und Überprüfen von Google-Erweiterungen umgangen werden kann. Forscher von Barracuda Networks warnten am 30. August, dass Facebook-Betrüger es geschafft haben, mehr als 90.000 Nutzer dazu zu bringen, mehrere bösartige Chrome-Erweiterungen im Chrome Web Store zu installieren, bevor die Erweiterungen von Google entfernt wurden.

Eine Warnung von Facecrooks, einer Gruppe am 20. Dezember überwacht Facebook-Bedrohungen und warnte vor Betrug, der Nutzer dazu verleitet hat, eine Rogue-Chrome-Erweiterung zu installieren, indem er behauptet, das Farbschema ihres Facebook-Profils zu ändern.

Laut Balazs die bösartigen Erweiterungsentwickler das Chrome-Web umgehen Die Malware-Erkennungssysteme von Store sind nicht überraschend.

Verschleierung von JavaScript-Code oder das Verstecken von schädlichen Funktionen innerhalb anderer nicht-schädlicher Funktionen oder das Erstellen nicht bösartiger Erweiterungen und das Hinzufügen schädlicher Funktionen in einem Update ist sehr einfach, sagte Balazs. "Es ist das gleiche Katz-und-Maus-Spiel, das wir zwischen Malware-Entwicklern und der AV-Industrie sehen."

"Im Moment ist Google der Sicherheitsstandard, wenn es um die Browsererweiterungssicherheit geht", sagte Balazs. Ein großer Schritt für Google wäre jedoch, die alte NPAPI (Netscape Plugin Application Programming Interface) -Plugin-Architektur überall zu deaktivieren - sie ist jetzt in Chrome für Windows 8 Metro und Chromebook deaktiviert - und fördert die sicherere und sandboxed Native Client-Architektur. sagte er.